Где находятся профили пользователей. Планирование дискового пространства. Удаление учетных записей пользователей и групп

И нформация взята из девятой главы книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek).

В профилях пользователей содержатся параметры рабочего стола, настройки меню и другие элементы пользовательской среды. Иногда проблемы с профилем могут воспрепятствовать входу пользователя в систему. Например, у пользователя могут возникнуть проблемы со входом в систему, для которой не поддерживаются параметры разрешения экрана, сохраненные в профиле. Фактически, пользователь не увидит ничего, кроме пустого экрана. Можно перезагрузить машину и войти в режиме VGA, чтобы установить необходимые параметры вручную. Однако,проблемы, связанные с профилями, не всегда просты и могут потребовать обновления данных профиля. (Примечание переводчика. Автор приводит неудачный пример. На самом деле, параметры разрешения экрана в профиле не хранятся, а являются настройками локального компьютера. Подтверждение можно найти в KB281565 .)

Управление профилями пользователей в Windows 2000 можно осуществлять различными способами:

Локальные, перемещаемые и обязательные профили

В операционной системе Windows 2000 у каждого пользователя есть свой профиль. В профиле содержатся параметры загрузки пользовательской среды, доступные программы и приложения, настройки рабочего стола и т.д. Профиль есть на каждом компьютере, на котором работает пользователь. Поскольку профиль хранится на локальном жестком диске, у пользователей, работающих на нескольких компьютерах, будут профили нак каждом из них. С другого компьютера сети локально сохраненный профиль недоступен (он так и называется: локальный профиль ). Как Вы понимаете, в этом есть свои недостатки. Например, у пользователя, входящего на различные компьютеры сети, профили могут отличаться друг от друга. В результате, пользователь может запутаться в доступных ему сетевых ресурсах. Чтобы решить проблему многочисленных профилей и упростить ситуацию, можно создать особый профиль, который будет доступен различным компьютерам сети. Такой профиль называется перемещаемым . Перемещаемый профиль доступен пользователю на любом компьютере, входящем в домен. Такой профиль может храниться только на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. При входе пользователя в систему происходит загрузка профиля с сервера, что в свою очередь создает локальную копию на компьютере пользователя. При выходе пользователя из системы, произведенные в течение сеанса изменения сохраняются как в локальной, так и серверной копии профиля.

Как администратор, Вы можете контролировать профили пользователей или позволить им это делать самостоятельно. К примеру, можно контролировать профили, чтобы обеспечить единую конфигурацию сети для всех пользователей. Это снизит количество проблем, связанных с пользовательской средой.

Профили, контролируемые администраторами, называются обязательными профилями . Пользователи, имеющие обязательный профиль, могут вносить лишь временные изменения в свою среду. Иными словами, все модификации пользовательской среды сохраняются лишь на протяжении сеанса, а при следующем входе в систему вновь загружается обязательный профиль. Смысл использования обязательных профилей заключается в том, что если пользователям не позволено модифицировать среду, они не сумеют внести изменения, которые могут привести к проблемам в работе. Основным недостатком такого подхода является то, что пользователи могут войти в систему только в случае, когда им доступен обязательный профиль. Если по какой-либо причине нет доступа к серверу, хранящему обязательные профили, а кэшированный профиль тоже недоступен, пользователь не сможет войти в систему. Если сервер недоступен, но есть возможность загрузить локальный кэшированный профиль, пользователь сможет войти в Windows 2000 с кэшированным профилем после соответствующего предупреждения операционной системы.

Создание локальных профилей

В Windows 2000 профили пользователей располагаются в каталоге по умолчанию, либо в расположении, указанном в поле диалогового окнаСвойства (Properties) пользователя.Расположение каталога по умолчанию зависит от конфигурации локального компьютера следующим образом:

Если расположение по умолчанию не менять, у пользователя будет локальный профиль.

Создание перемещаемых профилей
Перемещаемые профили хранятся на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. Если Вы хотите назначить пользователю перемещаемый профиль, нужно сконфигурировать серверное расположение каталога профиля. Этого можно достичь следующими действиями:

1.	Создайте общий каталог на сервере и убедитесь, что у группы Все (Everyone) есть доступ к нему.
2.	Откройте оснастку групповой политики и в Свойствах (Properties) пользователя перейдите на вкладку Профиль (Profile) . В поле Путь к профилю (Profile Path) введите путь к общему каталогу. Путь должен иметь вид \\server name\profile folder name\user name. Например, \\ZETA\USER_ PROFILES\GEORGEJ, где ZETA - имя сервера, USER_PROFILES – название общего каталога, а GEORGEJ является именем учетной записи.
3.	Впоследствии профиль будет храниться в файле NTUSER.DAT в указанном каталоге (например, \\ZETA\USER_PROFILES\GEORGEJ\NTUSER.DAT) Примечание . Как правило, нет необходимости в создании папки для пользователя. Она будет создана автоматически при входе пользователя в систему.
4.	Можно создать профиль для пользователя или скопировать существующий профиль в указанный каталог, однако этот шаг не является обязательным. Если Вы не создадите профиль для пользователя заранее, при следующем входе в систему он получит локальный профиль по умолчанию. Все изменения, произведенные пользователем в профиле, сохранятся по завершении сеанса. Таким образом, при следующем входе в систему у пользователя будет уже персональный профиль.

Создание обязательных профилей
Обязательные профили хранятся на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. Если вы хотите назначить пользователю обязательный профиль, выполните следующие действия:

Использование компонента панели управления Система (System) для управления локальными профилями

Для управления локальными профилями Вам нужно войти в систему на компьютере пользователя. Затем запустите компонент Система (System) панели управления и перейдите на вкладку . Как показано на Рисунке 9-9 ниже, вкладка Профили пользователей отображает в виде таблицы различную информацию о профилях локальной системы. Эта информация поможет Вам в управлении профилями. Значения полей таблицы раскрываются ниже:

	Имя. Имя локального профиля, которое обычно включает в себя имя домена или компьютера. Например, имя WEBATWORK\WRSTANEK означает, что этот профиль из домена WEBATWORK, а имя учетной записи - WRSTANEK. Рисунок 9-9. Вкладка Профили пользователей в диалоговом окне Свойства системы позволяет Вам управлять локальными профилями. Если Вы удалите учетную запись, но сохраните связанный с ней профиль, на вкладке Профили пользователей в поле Имя может отображаться Учетная запись удалена (Account Deleted) или Неизвестная учетная запись (Account Unknown) . Не обращайте внимание, профиль все равно можно скопировать при необходимости.
	Размер. Размер профиля. Обычно, чем больше размер профиля, тем больше личных изменений пользователь внес в свою среду.
	Тип. Тип профиля: локальный или перемещаемый.
	Изменен. Дата последнего изменения профиля.

Создание профиля вручную
В некоторых случаях Вам может понадобиться создать профиль вручную. Для этого нужно войти в систему с учетными данными пользователя, настроить среду, и выйти из системы. Несложно догадаться, что создание профилей таким способом отнимает немало времени. Лучше задействовать базовый профиль для создания новых пользовательских профилей. Иными словами, Вы создаете базовую учетную запись, настраиваете пользовательскую среду, а затем используете полученный профиль, как основу для создания других учетных записей.

Копирование существующего профиля в новую учетную запись
Если у Вас есть базовый профиль или иная учетная запись, которую Вы хотите взять за основу, можно скопировать существующий профиль в новую учетную запись. Для этого можно задействовать компонент панели управления Система (System) , проделав следующие операции:

1.		Запустите компонент Система и перейдите на вкладку Профили пользователей (User Profiles).
2.		Из списка выберите существующий профиль, который Вы желаете скопировать.
3.		Копировать (Copy To) , как показано на Рисунке 9-10. Например, создавая профиль для нашего пользователя GEORGEJ, Вы бы ввели такой путь: \\ZETA \USER_PROFILES\GEORGEJ .\\ZETA Рисунок 9-10. Используйте диалоговое окно Копировать (Copy To), чтобы указать расположение каталога профиля и выдать пользователю разрешения на доступ.
4.		Изменить (Change) в области , а затем используйте диалоговое окно Выбор: Пользователь или Группа (Select User Or Object)
5.		Нажмите кнопку OK Копировать и тем самым дать операционной системе команду на копирование профиля в указанное расположение.

Совет. Если Вы хотите использовать определенное имя пользователя или группы, введите его непосредственно в поле Имя. Это сэкономит Вам время.

Копирование или восстановление профиля
При обслуживании рабочих групп, где каждый компьютер управляется отдельно, Вам часто придется копировать локальный профиль пользователя с одного компьютера на другой. Копирование профиля позволяет пользователям работать с привычными настройками на различных компьютерах. Безусловно, в домене Windows 2000 Вы можете использовать перемещаемый профиль в виде единого профиля, который доступен в пределах всего домена. Впрочем, иногда Вам может понадобиться скопировать существующий локальный профиль поверх перемещаемого профиля пользователя (в случаях, когда последний поврежден) или может возникнуть необходимость в копировании существующего локального профиля в перемещаемый профиль другого домена.

Вы можете скопировать существующий профиль в новое расположение следующим образом:

1.	Войдите в систему на компьютере пользователя, из панели управления запустите компонент Система (System) и перейдите на вкладку Профили пользователей (User Profiles) .
2.	Из списка Профили, хранящиеся на этом компьютере (Profiles Stored On This Computer) выберите существующий профиль, который вы желаете скопировать.
3.	Скопируйте профиль в новую учетную запись, нажав кнопку Копировать (Copy To) . Затем введите путь к папке профиля нового пользователя в поле Копировать профиль на (Copy Profile To) . Например, создавая профиль для пользователя JANEW, Вы бы ввели такой путь: \\GAMMA\USERPROFILES\JANEW .
4.	Теперь нужно выдать пользователю разрешения на доступ к профилю. Нажмите кнопку Изменить (Change) в области Разрешить использование (Permitted To Use) , а затем используйте диалоговое окно Выбор: Пользователь или Группа (Select User Or Object) , чтобы выдать новой учетной записи необходимые разрешения.
5.	Нажмите кнопку OK , чтобы закрыть диалоговое окно Копировать и дать Windows 2000 команду на копирование профиля в указанное расположение.

Удаление локального профиля и назначение нового

Профили задействуются при входе пользователя в систему. Windows 2000 использует локальные профили для всех пользователей, не имеющих перемещаемых профилей. Вообще, локальный профиль также используется еще и в случае, когда дата его последнего изменения новее, чем у перемещаемого профиля. Поэтому в некоторых случаях может возникнуть необходимость в удалении локального профиля пользователя. Например, если локальный профиль поврежден, Вы можете удалить его и назначить новый. Учтите, что персональные настройки пользователя будут утеряны при удалении локального профиля, который более нигде в домене не сохранен.

Выполните следующие шаги для удаления профиля пользователя:

Примечание . Если в настоящий момент профиль используется, его нельзя удалить. Если пользователь вошел в систему локального компьютера, то для того, чтобы Вы могли удалить его профиль, он должен завершить сеанс. Иногда Windows 2000 определяет, что профиль используется в настоящий момент, даже если это не так. Обычно это является результатом некорректно применившихся настроек пользовательской среды. Для исправления такой проблемы может потребоваться перезагрузка компьютера.

Теперь при следующем входе пользователя в систему произойдет следующее. Операционная система предоставит пользователю либо локальный профиль по умолчанию, либо перемещаемый профиль, хранящийся на сервере. Чтобы избежать использования любого из этих профилей, Вам нужно назначить пользователю новый профиль.
Это можно осуществить:

Изменение типа профиля
Тип перемещаемого профиля можно изменить из панели управления локального компьютера при помощи компонента Система (System) . Для этого выберите профиль и нажмите кнопку Сменить тип (Change Type) . Диалоговое окно предоставляет Вам следующие возможности:

Перейти от использования перемещаемого профиля к использованию локального. Если Вы хотите, чтобы пользователь всегда входил в систему данного компьютера с локальным профилем, используйте параметр Локальный профиль (Local Profile) . Все изменения в пользовательских настройках затронут лишь локальный профиль и не коснутся перемещаемого.

Перейти от использования локального профиля (который ранее был перемещаемым) к использованию перемещаемого . Если выбрать параметр Перемещаемый профиль (Roaming Profile) , при следующем входе в систему пользователю будет предоставлен перемещаемый профиль. Впоследствии Windows 2000 будет рассматривать такой профиль, как любой другой перемещаемый профиль. Это означает, что все изменения, произведенные в локальном профиле, будут скопированы в перемещаемый профиль.

Примечание . Если профиль пользователя изначально был определен как локальный, эти настройки будут недоступны.

Изменение учетных записей пользователей и групп

При помощи оснастки Active Directory - пользователи и компьютеры (Active Directory Users And Computers) можно обновлять и изменять данные доменных учетных записей пользователей и групп. Если Вам нужно внести изменения в учетные записи на локальном компьютере, задействуйте оснастку .

Переименование учетных записей пользователей и групп

Выполните следующие действия, чтобы переименовать учетную запись:

Идентификаторы безопасности (SIDs)
Переименовывая учетную запись, Вы всего лишь даете ей новое имя. Как рассказывалось в Главе 7, имена пользователей облегчают Вам управление учетными записями и работу с ними. Операционная система Windows 2000 использует в своей работе идентификаторы безопасности (SIDs) для распознавания, отслеживания и обработки учетных записей вне зависимости от их имен. Идентификаторы безопасности являются уникальными и генерируются одновременно с созданием учетной записи.
Поскольку существует внутренняя связь между именем учетной записи пользователя и ее идентификатором безопасности, Вам не нужно изменять привилегии и разрешения переименованной учетной записи. Windows 2000 просто сопоставляет идентификатор безопасности новому имени учетной записи, когда в этом возникает необходимость.
Распространенной причиной переименования учетных записей служит смена фамилии работника после свадьбы. Например, если Jane Williams (JANEW) вышла замуж и взяла фамилию супруга, она может захотеть сменить имя своей учетной записи соответственно новой фамилии - Jane Marshall (JANEM).Когда вы переименовываете учетную запись с JANEW на JANEM, смена имени отразится на всех связанных с ней привилегиях и разрешениях.Например, у JANEM будут все разрешения для файлов, которые ранее имелись у JANEW (причем JANEW уже не будет присутствовать в списках).

Изменение прочей информации
Когда Вы изменяете имя учетной записи с JANEW на JANEM, свойства пользователя и имена файлов, связанных с этой учетной записью, остаются прежними. Это означает, что Вам следует обновить данные учетной записи. Возможно, Вам понадобится обновить следующую информацию:

	Выводимое имя . Измените Выводимое имя (Display Name) учетной записи в оснастке .
	Путь к профилю пользователя . Поменяйте Путь к профилю (Profile Path) в оснастке Active Directory - пользователи и компьютеры , а затем переименуйте соответствующую папку на диске.
	Сценарий входа в систему. Если Вы применяете индивидуальные сценарии входа в систему для каждого пользователя, измените Сценарий входа (Logon Script Name) в оснастке Active Directory - пользователи и компьютеры, и затем переименуйте файл сценария.
	Домашняя папка. Измените путь к домашней папке в оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers) , и затем переименуйте соответствующую папку на диске.

Примечание. Если пользователь находится в системе, изменение информации о файлах и папках может привести к накладкам. Следовательно, лучше производить обновление информации в нерабочие часы или попросить пользователя выйти из системы на несколько минут.
Копирование доменных учетных записей

Создание доменных учетных записей «с нуля» может быть весьма утомительным процессом. Вместо того, чтобы каждый раз создавать новую учетную запись, Вы можете использовать существующую учетную запись в виде отправной точки. Это можно проделать следующим образом:

Как можно ожидать, при создании копии существующей учетной записи в оснастке Active Directory - пользователи и компьютеры не происходит полного переноса информации в новую учетную запись. Сохраняются лишь данные, которые Вам могут понадобиться, а подлежащая обновлению персональная информация пользователя не копируется. В число сохраняемых настроек входят:

Примечание. Если Вы использовали переменные среды в настройках профиля базовой учетной записи, эти же переменные будут задействованы в созданной копии учетной записи. Например, если в исходной учетной записи использовалась переменная %UserName%, она будет присутствовать и в настройках новой учетной записи.

Удаление учетных записей пользователей и групп

Удаление учетной записи ведет к ее полному уничтожению. Если вы удалите учетную запись, а затем создадите новую с точно таким же именем, у последней уже не будет разрешений удаленной учетной записи. Это происходит потому, что идентификаторы безопасности новой и старой учетных записей не совпадают друг с другом.
Операционная система Windows 2000 не позволяет производить удаление встроенных учетных записей, поскольку это может привести к негативным последствиям в домене. Удаление прочих учетных записей можно осуществить, выделив учетную запись и нажав клавишу Delete на клавиатуре или выбрав команду Удалить (Delete) из контекстного меню. Затем останется лишь последовательно нажать кнопки OK и Да (Yes) в диалоговом окне подтверждения удаления учетной записи.
В оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers) можно выбрать сразу несколько учетных записей следующим образом:

Примечание. Когда Вы удаляете учетную запись, Windows 2000 не удаляет пользовательский профиль, личные файлы и домашнюю папку. Если Вам нужно их удалить, это придется сделать вручную.

Задание и смена паролей

Как администратору, Вам часто приходится задавать или менять пароли пользователей. Как правило, это приходится делать в случаях, когда пользователь не может вспомнить пароль или срок действия пароля истек. Выполните следующие действия, чтобы задать или сменить пароль:

1.	Откройте оснастку Active Directory - пользователи и компьютеры (Active Directory Users And Computers) или Локальные пользователи и группы (Local Users And Groups) , в зависимости от типа учетной записи для которой Вы меняете или задаете пароль.
2.	Правым щелчком мыши на имени учетной записи вызовите контекстное меню и выберите команду Смена пароля (Reset Password) или Задать пароль (Set Password) , в зависимости от поставленной задачи.
3.	Введите новый пароль и подтвердите его. Пароль должен соответствовать требованиям сложности, определяемых политикой домена или локального компьютера.
4.	Двойным щелчком на имени учетной записи откройте ее свойства и снимите флажок Отключить учетную запись (Account Is Disabled) или Заблокировать учетную запись (Account Is Locked Out) , если это применимо к Вашей ситуации или необходимо для выполнения поставленной задачи.В оснастке Active Directory - пользователи и компьютеры эти флажки находятся на вкладке Учетная запись (Account) .

Включение учетных записей

Учетные записи могут оказаться отключенными по ряду причин:

• Если пользователь забыл пароль и пытается его угадать, он может превысить допустимое число неудачных входов в систему, установленное политикой блокировки учетных записей.
• Другой администратор мог отключить учетную запись, пока пользователь находился в отпуске.
• Истек срок действия учетной записи.

Ниже описывается порядок действий в ситуациях, когда учетная запись отключена, заблокирована или истек срок ее действия.

Учетная запись отключена
Если учетная запись отключена, выполните следующие действия для ее включения:

Учетная запись заблокирована
Если учетная запись заблокирована, выполните следующие действия для ее разблокирования:

Примечание. Если учетные записи пользователей часто оказываются заблокированными, возможно, стоит задуматься об изменении доменной политики учетных записей. Вы можете увеличить пороговое значение неудачных попыток входа в систему и уменьшить время, требуемое для сброса значения соответствующего счетчика на ноль.
Более подробно аспекты настройки политик учетных записей рассматриваются в разделе Настройка политик учетных записей Главы 8.

Истечение срока действия учетной записи
Срок действия есть только у доменных учетных записей. Локальные учетные записи срока действия не имеют.
Если срок действия доменной учетной записи истек, выполните следующие шаги:

Устранение неполадок, связанных со входом в систему

В предыдущем разделе описывались ситуации, которые могли привести к отключению учетных записей. Помимо рассмотренных выше распространенных причин отключения учетных записей, к проблемам со входом в систему может привести неверная конфигурация некоторых системных параметров. В частности, могут возникнуть следующие проблемы в работе:

	Пользователю выдается сообщение о невозможности интерактивного входа в систему. У пользователя нет прав для локального входа в систему и он также не входит в группу, которая обладает данными правами. Возможно, пользователь пытается войти в системусервера или контроллера домена. Если это действительно так, учтите, что право на локальный вход распространяется сразу на все контроллеры домена. В противном случае, право распространяется лишь на вход на определенную рабочую станцию. Если пользователь должен иметь доступ в локальную систему, сконфигурируйте ему право на Локальный вход в систему (Local logon) , как описано в Главе 8 Конфигурация политик прав пользователей .
	Пользователю выдается сообщение о невозможности входа в систему. Если вы уже убедились в правильности пароля и имени учетной записи, проверьте ее тип. Пользователь может пытаться выполнить вход в домен с локальной учетной записью. Если дело не в этом, проблема может заключаться в недоступности сервера глобального каталога. В таком случае, только пользователи с привилегиями администратора могут выполнить вход в домен.
	У пользователя обязательный профиль, хранящийся на недоступном в данный момент компьютере. Если пользователю назначен обязательный профиль, то компьютер, на котором он хранится, должен быть доступен во время входа в систему. Если компьютер выключен или недоступен по иной причине, пользователи с обязательными профилями не смогут выполнить вход в систему.
	Пользователю выдается сообщение об отсутствии правa на вход в систему на этой рабочей станции. Пользователь пытался выполнить вход на компьютер, который отсутствует в перечне разрешенных рабочих станций. Если пользователь должен иметь доступ к этому компьютеру, внесите его в список как описано в разделе Настройка разрешенных для входа рабочих станций этой главы.

Материал взят из книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek). © Корпорация Microsoft, 1999. Все права защищены.

Структура и расположение профилей

Профили пользователей.

В отличие от операционных систем Windows 9x, позволявших всем пользователям компьютера иметь одинаковые настройки и работать с общим рабочим столом, Windows Server 2003 использует понятие профиля пользователя, который хранит все личные данные и настройки. В этой операционной системе отсутствует возможность использования одного профиля всеми пользователями компьютера, а данные профиля надежно защищены от других пользователей.

Профиль пользователя - специальная папка на локальном компьютере, в которой хранятся файлы и настройки конкретного пользователя. По умолчанию приложения, совместимые с Windows Server 2003, сохраняют свои данные и настройки пользователя в одну из папок профиля пользователя.
Общие сведения о профилях пользователей.
Ниже рассматриваются основные сведения об использовании профилей пользователей в операционной системе Windows Server 2003. Эти сведения справедливы как для отдельных компьютеров, так и для компьютеров, входящих в состав рабочей группы или домена.
Структура и расположение профилей.
Независимо от типа профиля в момент работы пользователя на компьютере профиль хранится в папке %homedrive%\Documents and Settings\%username% %userprofile% . Обычно папка Documents and Settings располагается на том же диске, что и операционная система.
Папка профиля пользователя обычно доступна администраторам компьютера, операционной системе и самому пользователю. Другие пользователи не имеют прав для просмотра, а тем более изменения данных, хранящихся в профиле.
Структура папки профиля.

По умолчанию каждый профиль пользователя имеет структуру файлов и папок, описанную ниже. Различные приложения могут добавлять свои файлы и папки в профиль, однако описанная структура остается неизменной, т.к. используется операционной системой для работы.

Папка	Описание
Application Data	Различные данные, сохраняемые приложениями. По стандартам Microsoft приложения, совместимые с Windows Server 2003, должны сохранять настройки пользователя в системном реестре или в этой папке. Большинство приложений Microsoft, в частности Microsoft Office, сохраняют дополнительные файлы, шаблоны и т.п. в этой папке
Cookies	Файлы cookies, сохраняемые Microsoft Internet Explorer
Desktop	Значки и файлы, расположенные на рабочем столе пользователя
Favorites	Папка Избранное Microsoft Internet Explorer
Local Settings	Данные, хранимые только на локальном компьютере. При использовании перемещаемых профилей (см. ниже) содержимое этой папки не копируется на сервер
Local Settings\Application Data	Данные, сохраняемые приложениями, которые специфичны для данного компьютера и не должны копироваться в перемещаемый профиль
Local Settings\History	История посещения сайтов Microsoft Internet Explorer
Local Settings\Temp	Папка для хранения временных файлов, создаваемых приложениями и операционной системой во время работы
Local Settings\Temporary Internet Files	Папка для кэширования файлов Microsoft Internet Explorer
My Documents	Папка Мои документы
NetHood	Пользовательские значки, добавленные в папку Мое сетевое окружение
PrintHood	Пользовательские значки, добавленные в папку Принтеры
Recent	Ссылки на недавно открывавшиеся файлы
SendTo	Пользовательские значки, добавленные в меню Отправить
Start Menu	Структура подменю Программы меню Пуск пользователя
Templates	Шаблоны файлов, создаваемых с помощью меню Создать файл
UserData	Информация об адресах, набиравшихся в Microsoft Internet Explorer
ntuser.dat	Куст системного реестра HKEY_CURRENT_USER пользователя
ntuser.dat.log	Журнал транзакций куста системного реестра пользователя
ntuser.ini	Дополнительные параметры профиля пользователя. Например, список папок профиля, не копируемых при использовании перемещаемого профиля

Профиль всех пользователей.

Профиль всех пользователей предназначен для хранения данных и настроек, общих для всех пользователей компьютера. Профиль хранится в папке %homedrive%\Documents and Settings\All Users . Для доступа к этой папке также может использоваться переменная среды %allusersprofile% .

Этот профиль по своей структуре идентичен профилю обычного пользователя, однако не содержит многих папок, предназначенных для хранения данных пользователя. Изменения в профиль всех пользователей могут вносить только члены локальных групп Администраторы и Опытные пользователи.

Профиль пользователя по умолчанию.

Профиль пользователя по умолчанию абсолютно идентичен профилю обычного пользователя, за исключением того, что этот профиль не может быть использован ни одним пользователем компьютера. Профиль пользователя по умолчанию используется при создании профиля нового пользователя: при регистрации нового пользователя, ранее не использовавшего компьютер, его профиль создается путем копирования профиля пользователя по умолчанию. Поэтому, если вы хотите включить какие-либо файлы в профиль каждого пользователя, но не можете это сделать при помощи профиля всех пользователей, скопируйте эти файлы в профиль пользователя по умолчанию. Например, скопировав нужные значки в папку NetHood, вы добьетесь их появления в папке Мое сетевое окружение каждого нового пользователя.
Профиль пользователя по умолчанию хранится в папке %homedrive%\Documents and Settings\Default User . Изменения в профиль пользователя по умолчанию могут вносить только члены локальной группы Администраторы.
Типы профилей.
Windows Server 2003 поддерживает три типа профилей пользователей:

• локальный профиль, расположенный на конкретном компьютере и не хранящийся на сервере;
• перемещаемый профиль, хранящийся на сервере и копируемый на любой компьютер, на котором регистрируется пользователь;
• обязательный профиль, являющийся разновидностью перемещаемого профиля, настройки пользователя в котором не сохраняются после завершения сеанса.

Локальный профиль.

Локальный профиль является единственным типом профилей, на работу с которыми ориентирован компьютер. При использовании остальных типов профилей все равно создается и используется локальный профиль. Структура локального, равно как и любого другого профиля, описана выше.
Локальный профиль обладает следующими свойствами:

• хранится на конкретном компьютере; при перемещении пользователя на другой компьютер все его настройки и файлы остаются на старом компьютере;
• не замедляет загрузку компьютера, т.к. хранится на одном из дисков компьютера;
  данные профиля всегда соответствуют набору программного обеспечения, установленного на компьютере;
• профиль может использоваться только одним пользователем.

Перемещаемый профиль.

Перемещаемый профиль является расширением локального профиля и предназначен для использования пользователями, не имеющими постоянного рабочего места. При регистрации на компьютере пользователя с перемещаемым профилем операционная система выполняет следующие действия:

• если для пользователя не был создан локальный профиль, то он создается на основе профиля пользователя по умолчанию. Это необходимо для того, чтобы не вызвать сбоев в работе приложений, хранящих свои данные в профиле пользователя;
• перемещаемый профиль пользователя синхронизируется с локальным профилем на компьютере. При синхронизации копируются только те файлы, которые были изменены с момента последнего использования профиля пользователем. Эта операция может занять достаточно много времени, особенно при хранении в профиле больших файлов;
• осуществляется процедура загрузки профиля, как обычного локального профиля.

При завершении сеанса пользователя осуществляется обратная синхронизация данных профиля с сервером.

При аварийном отключении компьютера обратная синхронизация данных профиля не осуществляется. В связи с этим локальный компьютер может хранить более свежие данные пользователя, чем его профиль на сервере. По этой причине рекомендуется после аварийного завершения работы компьютера осуществить процедуру регистрации и завершения сеанса на этом компьютере для синхронизации данных профиля с сервером.
Перемещаемый профиль обладает следующими свойствами:

• хранится на конкретном компьютере и на сервере. Обычно копия профиля на сервере является самой свежей. При перемещении пользователя на другой компьютер все его настройки и файлы сохраняются;
• существенно замедляет загрузку компьютера, даже если пользователь всегда использует один и тот же компьютер;
• существенно замедляет завершение сеанса пользователя;
• профиль может совместно использоваться несколькими пользователями, хотя это не рекомендуется.

Так как перемещаемый профиль содержит файлы системного реестра и другие файлы, формат которых зависит от используемой операционной системой, необходимо, чтобы на все компьютеры, используемые пользователем с перемещаемым профилем, была установлена одна и та же версия операционной системы. Кроме того, из-за разницы в именовании папок профиля в различных локализованных версиях операционной системы, необходимо использование одного и того же языка ОС на всех компьютерах.

При использовании перемещаемых профилей не рекомендуется хранить файлы на рабочем столе и в папке Мои документы. Эти папки, как часть перемещаемого профиля, синхронизируются с профилем на сервере. Большой размер этих папок может существенно замедлить процесс регистрации пользователя на компьютере и процесс завершения его сеанса. Пользователям рекомендуется не хранить файлы на рабочем столе, а все документы хранить в своей домашней папке на сервере.

Обязательный профиль.

Обязательный профиль является разновидностью перемещаемого профиля и предназначен для использования пользователями, работающими в гостевом режиме или в режиме ограниченных возможностей. При использовании обязательного профиля не осуществляется синхронизация локального профиля пользователя с сервером в момент завершения сеанса пользователя. Это препятствует сохранению любых изменений в настройках, сделанных пользователем во время сеанса работы за компьютером. Кроме того, при входе пользователя в систему осуществляется не синхронизация профиля, а копирование обязательного профиля в локальный, что приводит к потере всех настроек, осуществленных пользователем во время последнего сеанса.
Обязательный профиль отличается от перемещаемого только одним файлом: файл ntuser.dat в назначенном профиле называется ntuser.man , что указывает операционной системе на то, что используется обязательный профиль.
Обязательный профиль обладает следующими свойствами:

• хранится на конкретном компьютере и на сервере. Копия профиля на сервере всегда замещает локальный профиль при регистрации пользователя на компьютере. При регистрации пользователь всегда получает стандартный комплект настроек; все изменения, сделанные пользователем во время сеанса, теряются при завершении сеанса;
• существенно замедляет загрузку компьютера, даже по сравнению с перемещаемым профилем, так как при регистрации пользователя его профиль копируется полностью;
• не замедляет завершение сеанса пользователя;
• данные профиля не всегда соответствуют набору программного обеспечения, установленного на компьютере, что может привести к появлению неработающих значков или невозможности открыть некоторые файлы;
• профиль может совместно использоваться несколькими пользователями.

Планирование использования профилей.

Если вы решили использовать в локальной сети перемещаемые или обязательные профили для пользователей, рекомендуется предварительно осуществить планирование серверов и пропускной способности сети.

В ходе планирования необходимо решить следующие задачи:

Определите количество пользователей, которые будут использовать перемещаемые профили, и частоту их регистрации в сети
Определите средний объем профиля пользователя
Определите набор стандартного программного обеспечения, используемого пользователями с перемещаемыми профилями

Планирование сети и серверов.

Пользователи с перемещаемыми профилями создают значительный трафик в локальной сети в момент регистрации в сети и завершения своих сеансов. При наличии таких пользователей рекомендуется придерживаться следующих требований к сети и серверам, обслуживающим профили пользователей:

• Компьютеры, используемые перемещаемыми пользователями, должны быть расположены в высокоскоростном сегменте локальной сети. Для их соединения желательно использовать коммутаторы со скоростью портов не менее 100 Мбит/с. Крайне желательно расположить эти компьютеры в отдельном физическом сегменте сети.
• Для хранения перемещаемых профилей пользователей необходимо выделить отдельный сервер, оснащенный быстродействующими жесткими дисками достаточного размера. При количестве пользователей, использующих перемещаемые профили, менее 5 возможно использование сервера и для других целей.
• Для хранения перемещаемых профилей пользователя не должен использоваться контроллер домена.
• Сервер рекомендуется подключать к тому же сетевому коммутатору, что и компьютеры перемещаемых пользователей. Скорость подключения должна позволять 3-4 клиентским компьютерам осуществлять загрузку с максимально возможной скоростью. Рекомендуемая скорость подключения - 1 Гбит/с.

Планирование дискового пространства.

Пространство, необходимое для хранения профиля пользователя, складывается из следующих составляющих:

Компонент профиля	Размер	Комментарии
Базовая структура профиля и данные приложений	Не более 2-3 Мб	Размер этого компонента легко вычислить, измерив размер профиля пользователя по умолчанию на нескольких компьютерах.
Системный реестр	Обычно не более 10 Мб	Даже при очень интенсивной работе пользователя с большим количеством приложений размер реестра редко превышает 10 Мб.
Файлы данных приложений	От 10 Мб	У интенсивно работающих пользователей размер этого компонента профиля может быть существенным. Например, при использовании Microsoft Outlook, размер файла личных папок, хранящегося в папке Application Data , может иметь размер более 100 Мб.
Документы пользователя		Зависит от количества и размеров документов, создаваемых пользователем. Рекомендуется хранить документы пользователя в его домашней папке, перенаправляя туда папку Мои документы. Это позволит существенно уменьшить размер профиля пользователя.

Планирование программного обеспечения.
Все компьютеры, используемые пользователями с перемещаемыми профилями, должны иметь идентичный или практически идентичный набор программного обеспечения. При несоблюдении этого требования возможно следующее:

• Пользователи не смогут открыть некоторые файлы документов, т.к. на компьютере не установлены приложения, предназначенные для работы с этими документами. Например, если на компьютере не установлен Microsoft Excel, то пользователи не смогут работать на нем со своими электронными таблицами.
• Некоторые файлы пользователей могут открываться некорректно из-за того, что на компьютере установлена более старая версия приложения, используемого для работы с этими файлами. Например, при открытии файлов документов, созданных в Microsoft Office 2003, в Microsoft Office 97 эти файлы могут отображаться некорректно, т.к. Office 97 не поддерживает новых возможностей Office XP.
• Часть значков на рабочем столе пользователя может не работать, т.к. на компьютере отсутствуют соответствующие приложения, либо они установлены в другие папки.

Конфигурирование перемещаемых профилей.

Перед использованием перемещаемого профиля пользователя вы должны выполнить ряд шагов для его создания.

Подготовка сервера.

Перед созданием первого перемещаемого профиля необходимо выполнить ряд шагов на сервере, который будет хранить перемещаемые профили. Эти шаги выполняются однократно перед созданием первого профиля.

• На диске, предназначенном для хранения профилей пользователей, создайте папку для профилей, например User Profiles. Установите на эту папку следующие разрешения:

1. Пользователи - чтение.

• Предоставьте папку User Profiles в общий доступ под именем Profiles. Для общей папки установите следующие разрешения:

1. Администраторы, Операционная система - полный доступ;
2. Пользователи - полный доступ.

Таким образом, в большинстве случаев размер профиля пользователя находится в пределах от 5 до 50 Мб. При определении размера дискового пространства, необходимого для хранения перемещаемых профилей пользователей, рекомендуется резервировать достаточное количество пространства и осуществлять постоянный мониторинг используемого дискового пространства. Если при сохранении перемещаемого профиля на сервере не будет достаточного объема дискового пространства - часть данных профиля может быть утеряна.

Создание перемещаемого профиля пользователя.

Следующие действия должны быть выполнены при создании перемещаемого профиля каждого пользователя:

• Зарегистрируйтесь от имени пользователя на одном из компьютеров, который будет использоваться для работы этого пользователя в будущем. Выполните необходимые начальные настройки окружения пользователя. Завершите сеанс пользователя.
  
• средствами операционной системы.
• На контроллере домена или компьютере, оснащенном инструментами администрирования Active Directory, в свойствах пользователя укажите в качестве пути к профилю пользователя \\имя_сервера\Profiles\%username% .
• Зарегистрируйтесь на том же компьютере от имени пользователя, для которого создается перемещаемый профиль. Убедитесь, что тип профиля пользователя изменился на "перемещаемый". Завершите сеанс пользователя.

Копирование профиля пользователя.

Копирование профиля пользователя должно выполняться на том компьютере, где уже существует локальный профиль этого пользователя. Копирование должно выполняться из сеанса пользователя с правами локального администратора компьютера и администратора домена. Не рекомендуется выполнять копирование из сеанса того пользователя, чей профиль должен быть скопирован.

Для копирования профиля пользователя сверните все открытые окна приложений. Выберите пункт Свойства контекстного меню папки Мой компьютер , расположенной на рабочем столе. В появившемся окне Свойства системы перейдите на вкладку Профили пользователей . В списке профилей выберите профиль нужного пользователя и щелкните кнопку Копировать .

В появившемся окне в поле Копировать профиль на укажите полный сетевой путь к папке на сервере, в которую должен быть скопирован профиль пользователя, например \\имя_сервера\Profiles\IvanovII .

При помощи кнопки Изменить вы можете изменить пользователя, который будет иметь возможность использовать перемещаемый профиль. Это позволяет использовать один "шаблонный" профиль для создания перемещаемых профилей нескольких пользователей. Для этого необходимо осуществить операцию копирования профиля несколько раз, каждый раз указывая нужную папку для хранения профиля и пользователя, который будет иметь доступ к профилю. Кроме того, вы можете разрешить использование профиля пользователя не отдельному пользователю, а целой группе. Эта возможность обычно используется при создании назначенных профилей пользователей.

После копирования всех необходимых профилей вы можете закрыть окно свойств системы, щелкнув кнопку ОК или Отмена .

Изменение свойств учетной записи пользователя.

Для изменения свойств учетной записи пользователя запустите консоль управления Active Directory - пользователи и компьютеры. Для этого выберите пункт Администрирование меню Пуск, а в нем щелкните на пункте Active Directory - пользователи и компьютеры . Для просмотра и изменения свойств учетной записи пользователя, найдите интересующий вас объект пользователя в дереве консоли управления Active Directory - пользователи и компьютеры и нажмите на нем правую кнопку мыши. Выберите пункт Свойства контекстного меню. Перейдите на вкладку Профиль .

Введите полный сетевой путь к профилю пользователя в поле Путь к профилю, например, \\имя_сервера\Profiles\ IvanovII . Щелкните кнопку ОК для сохранения изменений.

Проверка и изменение типа профиля пользователя.

Прежде чем вам будет доступна возможность проверить или изменить тип профиля пользователя, он должен как минимум один раз зарегистрироваться в домене для использования своего перемещаемого профиля. Изменение типа профиля может быть выполнено из сеанса пользователя с правами локального администратора компьютера, либо самим владельцем профиля.

Для проверки или изменения типа профиля пользователя сверните все открытые окна приложений. Выберите пункт Свойства контекстного меню папки Мой компьютер, расположенной на рабочем столе. В появившемся окне Свойства системы перейдите на вкладку Профили пользователей. Если для входа в систему использовалось имя обычного пользователя, то на вкладке Профили пользователей будет виден только профиль этого пользователя. Если пользователь является членом группы локальных администраторов, то он будет видеть все профили, хранящиеся на локальном компьютере.

Выберите в списке профиль нужного пользователя. Убедитесь, что указан правильный тип профиля. вы можете изменить тип профиля пользователя, щелкнув кнопку Сменить тип . В появившемся окне укажите тип профиля пользователя и щелкните кнопку ОК . Если текущий профиль был перемещаемым, то после смены его типа на локальный при завершении сеанса пользователя данные профиля не будут копироваться на сервер и в дальнейшем будет использоваться локальная копия профиля. Если текущий профиль был локальным, то после смены его типа на перемещаемый при завершении сеанса пользователя данные профиля будут скопированы в папку профиля на сервере.

Вы можете изменить тип профиля с локального на перемещаемый только в том случае, если для этого пользователя настроено использование перемещаемого профиля в свойствах его учетной записи и этот пользователь ранее работал с перемещаемым профилем.

Создание обязательного профиля пользователя.

Следующие действия должны быть выполнены при создании обязательного профиля:

• Зарегистрируйтесь от имени пользователя на одном из компьютеров, профиль которого будет использоваться в качестве шаблона для обязательного профиля. Выполните необходимые начальные настройки окружения пользователя. Завершите сеанс пользователя.
• Зарегистрируйтесь на компьютере от имени пользователя с полномочиями администратора домена и администратора локального компьютера.
• Скопируйте профиль пользователя в папку \\имя_сервера\Profiles\ имя_профиля средствами операционной системы. Разрешите использование профиля членам соответствующей группы.
  В папке переименуйте файл ntuser.dat в ntuser.man .
  На контроллере домена или компьютере, оснащенном инструментами администрирования Active Directory, в свойствах каждого пользователя, который должен использовать обязательный профиль, укажите в качестве пути к профилю пользователя \\имя_сервера\Profiles\имя_профиля .
• Зарегистрируйтесь на том же компьютере от имени одного из пользователей, для которых создается обязательный профиль. Убедитесь, что тип профиля пользователя изменился на "обязательный". Создайте какой-либо файл на рабочем столе пользователя. Завершите сеанс пользователя.
• Зарегистрируйтесь на том же компьютере от имени того же пользователя. Убедитесь, что на рабочем столе пользователя нет файла, созданного на предыдущем шаге. Завершите сеанс пользователя.

При использовании обязательного профиля вы не можете изменить его тип на перемещаемый или локальный. Для того, чтобы это можно было сделать, необходимо в свойствах учетной записи пользователя указать ссылку на перемещаемый профиль или вообще не указывать никакого профиля.

Структура и расположение профилей

Профили пользователей.

В отличие от операционных систем Windows 9x, позволявших всем пользователям компьютера иметь одинаковые настройки и работать с общим рабочим столом, Windows Server 2003 использует понятие профиля пользователя, который хранит все личные данные и настройки. В этой операционной системе отсутствует возможность использования одного профиля всеми пользователями компьютера, а данные профиля надежно защищены от других пользователей.

Профиль пользователя — специальная папка на локальном компьютере, в которой хранятся файлы и настройки конкретного пользователя. По умолчанию приложения, совместимые с Windows Server 2003, сохраняют свои данные и настройки пользователя в одну из папок профиля пользователя.
Общие сведения о профилях пользователей.
Ниже рассматриваются основные сведения об использовании профилей пользователей в операционной системе Windows Server 2003. Эти сведения справедливы как для отдельных компьютеров, так и для компьютеров, входящих в состав рабочей группы или домена.
Структура и расположение профилей.
Независимо от типа профиля в момент работы пользователя на компьютере профиль хранится в папке %homedrive%\Documents and Settings\%username% %userprofile% . Обычно папка Documents and Settings располагается на том же диске, что и операционная система.
Папка профиля пользователя обычно доступна администраторам компьютера, операционной системе и самому пользователю. Другие пользователи не имеют прав для просмотра, а тем более изменения данных, хранящихся в профиле.
Структура папки профиля.

По умолчанию каждый профиль пользователя имеет структуру файлов и папок, описанную ниже. Различные приложения могут добавлять свои файлы и папки в профиль, однако описанная структура остается неизменной, т.к. используется операционной системой для работы.

Папка	Описание
Application Data	Различные данные, сохраняемые приложениями. По стандартам Microsoft приложения, совместимые с Windows Server 2003, должны сохранять настройки пользователя в системном реестре или в этой папке. Большинство приложений Microsoft, в частности Microsoft Office, сохраняют дополнительные файлы, шаблоны и т.п. в этой папке
Cookies	Файлы cookies, сохраняемые Microsoft Internet Explorer
Desktop	Значки и файлы, расположенные на рабочем столе пользователя
Favorites	Папка Избранное Microsoft Internet Explorer
Local Settings	Данные, хранимые только на локальном компьютере. При использовании перемещаемых профилей (см. ниже) содержимое этой папки не копируется на сервер
Local Settings\Application Data	Данные, сохраняемые приложениями, которые специфичны для данного компьютера и не должны копироваться в перемещаемый профиль
Local Settings\History	История посещения сайтов Microsoft Internet Explorer
Local Settings\Temp	Папка для хранения временных файлов, создаваемых приложениями и операционной системой во время работы
Local Settings\Temporary Internet Files	Папка для кэширования файлов Microsoft Internet Explorer
My Documents	Папка Мои документы
NetHood	Пользовательские значки, добавленные в папку Мое сетевое окружение
PrintHood	Пользовательские значки, добавленные в папку Принтеры
Recent	Ссылки на недавно открывавшиеся файлы
SendTo	Пользовательские значки, добавленные в меню Отправить
Start Menu	Структура подменю Программы меню Пуск пользователя
Templates	Шаблоны файлов, создаваемых с помощью меню Создать файл
UserData	Информация об адресах, набиравшихся в Microsoft Internet Explorer
ntuser.dat	Куст системного реестра HKEY_CURRENT_USER пользователя
ntuser.dat.log	Журнал транзакций куста системного реестра пользователя
ntuser.ini	Дополнительные параметры профиля пользователя. Например, список папок профиля, не копируемых при использовании перемещаемого профиля

Профиль всех пользователей.

Профиль всех пользователей предназначен для хранения данных и настроек, общих для всех пользователей компьютера. Профиль хранится в папке %homedrive%\Documents and Settings\All Users . Для доступа к этой папке также может использоваться переменная среды %allusersprofile% .

Этот профиль по своей структуре идентичен профилю обычного пользователя, однако не содержит многих папок, предназначенных для хранения данных пользователя. Изменения в профиль всех пользователей могут вносить только члены локальных групп Администраторы и Опытные пользователи.

Профиль пользователя по умолчанию.

Профиль пользователя по умолчанию абсолютно идентичен профилю обычного пользователя, за исключением того, что этот профиль не может быть использован ни одним пользователем компьютера. Профиль пользователя по умолчанию используется при создании профиля нового пользователя: при регистрации нового пользователя, ранее не использовавшего компьютер, его профиль создается путем копирования профиля пользователя по умолчанию. Поэтому, если вы хотите включить какие-либо файлы в профиль каждого пользователя, но не можете это сделать при помощи профиля всех пользователей, скопируйте эти файлы в профиль пользователя по умолчанию. Например, скопировав нужные значки в папку NetHood, вы добьетесь их появления в папке Мое сетевое окружение каждого нового пользователя.
Профиль пользователя по умолчанию хранится в папке %homedrive%\Documents and Settings\Default User . Изменения в профиль пользователя по умолчанию могут вносить только члены локальной группы Администраторы.
Типы профилей.
Windows Server 2003 поддерживает три типа профилей пользователей:

• локальный профиль, расположенный на конкретном компьютере и не хранящийся на сервере;
• перемещаемый профиль, хранящийся на сервере и копируемый на любой компьютер, на котором регистрируется пользователь;
• обязательный профиль, являющийся разновидностью перемещаемого профиля, настройки пользователя в котором не сохраняются после завершения сеанса.

Локальный профиль.

Локальный профиль является единственным типом профилей, на работу с которыми ориентирован компьютер. При использовании остальных типов профилей все равно создается и используется локальный профиль. Структура локального, равно как и любого другого профиля, описана выше.
Локальный профиль обладает следующими свойствами:

• хранится на конкретном компьютере; при перемещении пользователя на другой компьютер все его настройки и файлы остаются на старом компьютере;
• не замедляет загрузку компьютера, т.к. хранится на одном из дисков компьютера;
  данные профиля всегда соответствуют набору программного обеспечения, установленного на компьютере;
• профиль может использоваться только одним пользователем.

Перемещаемый профиль.

Перемещаемый профиль является расширением локального профиля и предназначен для использования пользователями, не имеющими постоянного рабочего места. При регистрации на компьютере пользователя с перемещаемым профилем операционная система выполняет следующие действия:

• если для пользователя не был создан локальный профиль, то он создается на основе профиля пользователя по умолчанию. Это необходимо для того, чтобы не вызвать сбоев в работе приложений, хранящих свои данные в профиле пользователя;
• перемещаемый профиль пользователя синхронизируется с локальным профилем на компьютере. При синхронизации копируются только те файлы, которые были изменены с момента последнего использования профиля пользователем. Эта операция может занять достаточно много времени, особенно при хранении в профиле больших файлов;
• осуществляется процедура загрузки профиля, как обычного локального профиля.

При завершении сеанса пользователя осуществляется обратная синхронизация данных профиля с сервером.

При аварийном отключении компьютера обратная синхронизация данных профиля не осуществляется. В связи с этим локальный компьютер может хранить более свежие данные пользователя, чем его профиль на сервере. По этой причине рекомендуется после аварийного завершения работы компьютера осуществить процедуру регистрации и завершения сеанса на этом компьютере для синхронизации данных профиля с сервером.
Перемещаемый профиль обладает следующими свойствами:

• хранится на конкретном компьютере и на сервере. Обычно копия профиля на сервере является самой свежей. При перемещении пользователя на другой компьютер все его настройки и файлы сохраняются;
• существенно замедляет загрузку компьютера, даже если пользователь всегда использует один и тот же компьютер;
• существенно замедляет завершение сеанса пользователя;
• профиль может совместно использоваться несколькими пользователями, хотя это не рекомендуется.

Так как перемещаемый профиль содержит файлы системного реестра и другие файлы, формат которых зависит от используемой операционной системой, необходимо, чтобы на все компьютеры, используемые пользователем с перемещаемым профилем, была установлена одна и та же версия операционной системы. Кроме того, из-за разницы в именовании папок профиля в различных локализованных версиях операционной системы, необходимо использование одного и того же языка ОС на всех компьютерах.

При использовании перемещаемых профилей не рекомендуется хранить файлы на рабочем столе и в папке Мои документы. Эти папки, как часть перемещаемого профиля, синхронизируются с профилем на сервере. Большой размер этих папок может существенно замедлить процесс регистрации пользователя на компьютере и процесс завершения его сеанса. Пользователям рекомендуется не хранить файлы на рабочем столе, а все документы хранить в своей домашней папке на сервере.

Обязательный профиль.

Обязательный профиль является разновидностью перемещаемого профиля и предназначен для использования пользователями, работающими в гостевом режиме или в режиме ограниченных возможностей. При использовании обязательного профиля не осуществляется синхронизация локального профиля пользователя с сервером в момент завершения сеанса пользователя. Это препятствует сохранению любых изменений в настройках, сделанных пользователем во время сеанса работы за компьютером. Кроме того, при входе пользователя в систему осуществляется не синхронизация профиля, а копирование обязательного профиля в локальный, что приводит к потере всех настроек, осуществленных пользователем во время последнего сеанса.
Обязательный профиль отличается от перемещаемого только одним файлом: файл ntuser.dat в назначенном профиле называется ntuser.man , что указывает операционной системе на то, что используется обязательный профиль.
Обязательный профиль обладает следующими свойствами:

• хранится на конкретном компьютере и на сервере. Копия профиля на сервере всегда замещает локальный профиль при регистрации пользователя на компьютере. При регистрации пользователь всегда получает стандартный комплект настроек; все изменения, сделанные пользователем во время сеанса, теряются при завершении сеанса;
• существенно замедляет загрузку компьютера, даже по сравнению с перемещаемым профилем, так как при регистрации пользователя его профиль копируется полностью;
• не замедляет завершение сеанса пользователя;
• данные профиля не всегда соответствуют набору программного обеспечения, установленного на компьютере, что может привести к появлению неработающих значков или невозможности открыть некоторые файлы;
• профиль может совместно использоваться несколькими пользователями.

Планирование использования профилей.

Если вы решили использовать в локальной сети перемещаемые или обязательные профили для пользователей, рекомендуется предварительно осуществить планирование серверов и пропускной способности сети.

В ходе планирования необходимо решить следующие задачи:

Определите количество пользователей, которые будут использовать перемещаемые профили, и частоту их регистрации в сети
Определите средний объем профиля пользователя
Определите набор стандартного программного обеспечения, используемого пользователями с перемещаемыми профилями
Планирование сети и серверов.

Пользователи с перемещаемыми профилями создают значительный трафик в локальной сети в момент регистрации в сети и завершения своих сеансов. При наличии таких пользователей рекомендуется придерживаться следующих требований к сети и серверам, обслуживающим профили пользователей:

• Компьютеры, используемые перемещаемыми пользователями, должны быть расположены в высокоскоростном сегменте локальной сети. Для их соединения желательно использовать коммутаторы со скоростью портов не менее 100 Мбит/с. Крайне желательно расположить эти компьютеры в отдельном физическом сегменте сети.
• Для хранения перемещаемых профилей пользователей необходимо выделить отдельный сервер, оснащенный быстродействующими жесткими дисками достаточного размера. При количестве пользователей, использующих перемещаемые профили, менее 5 возможно использование сервера и для других целей.
• Для хранения перемещаемых профилей пользователя не должен использоваться контроллер домена.
• Сервер рекомендуется подключать к тому же сетевому коммутатору, что и компьютеры перемещаемых пользователей. Скорость подключения должна позволять 3-4 клиентским компьютерам осуществлять загрузку с максимально возможной скоростью. Рекомендуемая скорость подключения — 1 Гбит/с.

Планирование дискового пространства.

Пространство, необходимое для хранения профиля пользователя, складывается из следующих составляющих:

Компонент профиля	Размер	Комментарии
Базовая структура профиля и данные приложений	Не более 2-3 Мб	Размер этого компонента легко вычислить, измерив размер профиля пользователя по умолчанию на нескольких компьютерах.
Системный реестр	Обычно не более 10 Мб	Даже при очень интенсивной работе пользователя с большим количеством приложений размер реестра редко превышает 10 Мб.
Файлы данных приложений	От 10 Мб	У интенсивно работающих пользователей размер этого компонента профиля может быть существенным. Например, при использовании Microsoft Outlook, размер файла личных папок, хранящегося в папке Application Data , может иметь размер более 100 Мб.
Документы пользователя		Зависит от количества и размеров документов, создаваемых пользователем. Рекомендуется хранить документы пользователя в его домашней папке, перенаправляя туда папку Мои документы. Это позволит существенно уменьшить размер профиля пользователя.

Планирование программного обеспечения.
Все компьютеры, используемые пользователями с перемещаемыми профилями, должны иметь идентичный или практически идентичный набор программного обеспечения. При несоблюдении этого требования возможно следующее:

• Пользователи не смогут открыть некоторые файлы документов, т.к. на компьютере не установлены приложения, предназначенные для работы с этими документами. Например, если на компьютере не установлен Microsoft Excel, то пользователи не смогут работать на нем со своими электронными таблицами.
• Некоторые файлы пользователей могут открываться некорректно из-за того, что на компьютере установлена более старая версия приложения, используемого для работы с этими файлами. Например, при открытии файлов документов, созданных в Microsoft Office 2003, в Microsoft Office 97 эти файлы могут отображаться некорректно, т.к. Office 97 не поддерживает новых возможностей Office XP.
• Часть значков на рабочем столе пользователя может не работать, т.к. на компьютере отсутствуют соответствующие приложения, либо они установлены в другие папки.

Конфигурирование перемещаемых профилей.

Перед использованием перемещаемого профиля пользователя вы должны выполнить ряд шагов для его создания.

Подготовка сервера.

Перед созданием первого перемещаемого профиля необходимо выполнить ряд шагов на сервере, который будет хранить перемещаемые профили. Эти шаги выполняются однократно перед созданием первого профиля.

• На диске, предназначенном для хранения профилей пользователей, создайте папку для профилей, например User Profiles. Установите на эту папку следующие разрешения:

1. Пользователи — чтение.

• Предоставьте папку User Profiles в общий доступ под именем Profiles. Для общей папки установите следующие разрешения:

1. Администраторы, Операционная система — полный доступ;
2. Пользователи — полный доступ.

Таким образом, в большинстве случаев размер профиля пользователя находится в пределах от 5 до 50 Мб. При определении размера дискового пространства, необходимого для хранения перемещаемых профилей пользователей, рекомендуется резервировать достаточное количество пространства и осуществлять постоянный мониторинг используемого дискового пространства. Если при сохранении перемещаемого профиля на сервере не будет достаточного объема дискового пространства — часть данных профиля может быть утеряна.

Создание перемещаемого профиля пользователя.

Следующие действия должны быть выполнены при создании перемещаемого профиля каждого пользователя:

• Зарегистрируйтесь от имени пользователя на одном из компьютеров, который будет использоваться для работы этого пользователя в будущем. Выполните необходимые начальные настройки окружения пользователя. Завершите сеанс пользователя.
  Зарегистрируйтесь на компьютере от имени пользователя с полномочиями администратора домена и администратора локального компьютера.
• Скопируйте профиль пользователя в папку \\имя_сервера\Profiles\%username% средствами операционной системы.
• На контроллере домена или компьютере, оснащенном инструментами администрирования Active Directory, в свойствах пользователя укажите в качестве пути к профилю пользователя \\имя_сервера\Profiles\%username%.
• Зарегистрируйтесь на том же компьютере от имени пользователя, для которого создается перемещаемый профиль. Убедитесь, что тип профиля пользователя изменился на «перемещаемый». Завершите сеанс пользователя.

Копирование профиля пользователя.

Копирование профиля пользователя должно выполняться на том компьютере, где уже существует локальный профиль этого пользователя. Копирование должно выполняться из сеанса пользователя с правами локального администратора компьютера и администратора домена. Не рекомендуется выполнять копирование из сеанса того пользователя, чей профиль должен быть скопирован.

Для копирования профиля пользователя сверните все открытые окна приложений. Выберите пункт Свойства контекстного меню папки Мой компьютер , расположенной на рабочем столе. В появившемся окне Свойства системы перейдите на вкладку Профили пользователей . В списке профилей выберите профиль нужного пользователя и щелкните кнопку Копировать .

В появившемся окне в поле Копировать профиль на укажите полный сетевой путь к папке на сервере, в которую должен быть скопирован профиль пользователя, например \\имя_сервера\Profiles\IvanovII .

При помощи кнопки Изменить вы можете изменить пользователя, который будет иметь возможность использовать перемещаемый профиль. Это позволяет использовать один «шаблонный» профиль для создания перемещаемых профилей нескольких пользователей. Для этого необходимо осуществить операцию копирования профиля несколько раз, каждый раз указывая нужную папку для хранения профиля и пользователя, который будет иметь доступ к профилю. Кроме того, вы можете разрешить использование профиля пользователя не отдельному пользователю, а целой группе. Эта возможность обычно используется при создании назначенных профилей пользователей.

После копирования всех необходимых профилей вы можете закрыть окно свойств системы, щелкнув кнопку ОК или Отмена .

Изменение свойств учетной записи пользователя.

Для изменения свойств учетной записи пользователя запустите консоль управления Active Directory — пользователи и компьютеры. Для этого выберите пункт Администрирование меню Пуск, а в нем щелкните на пункте Active Directory — пользователи и компьютеры . Для просмотра и изменения свойств учетной записи пользователя, найдите интересующий вас объект пользователя в дереве консоли управления Active Directory — пользователи и компьютеры и нажмите на нем правую кнопку мыши. Выберите пункт Свойства контекстного меню. Перейдите на вкладку Профиль .

Введите полный сетевой путь к профилю пользователя в поле Путь к профилю, например, \\имя_сервера\Profiles\ IvanovII . Щелкните кнопку ОК для сохранения изменений.

Проверка и изменение типа профиля пользователя.

Прежде чем вам будет доступна возможность проверить или изменить тип профиля пользователя, он должен как минимум один раз зарегистрироваться в домене для использования своего перемещаемого профиля. Изменение типа профиля может быть выполнено из сеанса пользователя с правами локального администратора компьютера, либо самим владельцем профиля.

Для проверки или изменения типа профиля пользователя сверните все открытые окна приложений. Выберите пункт Свойства контекстного меню папки Мой компьютер, расположенной на рабочем столе. В появившемся окне Свойства системы перейдите на вкладку Профили пользователей. Если для входа в систему использовалось имя обычного пользователя, то на вкладке Профили пользователей будет виден только профиль этого пользователя. Если пользователь является членом группы локальных администраторов, то он будет видеть все профили, хранящиеся на локальном компьютере.

Выберите в списке профиль нужного пользователя. Убедитесь, что указан правильный тип профиля. вы можете изменить тип профиля пользователя, щелкнув кнопку Сменить тип . В появившемся окне укажите тип профиля пользователя и щелкните кнопку ОК . Если текущий профиль был перемещаемым, то после смены его типа на локальный при завершении сеанса пользователя данные профиля не будут копироваться на сервер и в дальнейшем будет использоваться локальная копия профиля. Если текущий профиль был локальным, то после смены его типа на перемещаемый при завершении сеанса пользователя данные профиля будут скопированы в папку профиля на сервере.

Вы можете изменить тип профиля с локального на перемещаемый только в том случае, если для этого пользователя настроено использование перемещаемого профиля в свойствах его учетной записи и этот пользователь ранее работал с перемещаемым профилем.

Создание обязательного профиля пользователя.

Следующие действия должны быть выполнены при создании обязательного профиля:

• Зарегистрируйтесь от имени пользователя на одном из компьютеров, профиль которого будет использоваться в качестве шаблона для обязательного профиля. Выполните необходимые начальные настройки окружения пользователя. Завершите сеанс пользователя.
• Зарегистрируйтесь на компьютере от имени пользователя с полномочиями администратора домена и администратора локального компьютера.
• Скопируйте профиль пользователя в папку \\имя_сервера\Profiles\ имя_профиля средствами операционной системы. Разрешите использование профиля членам соответствующей группы.
  В папке переименуйте файл ntuser.dat в ntuser.man .
  На контроллере домена или компьютере, оснащенном инструментами администрирования Active Directory, в свойствах каждого пользователя, который должен использовать обязательный профиль, укажите в качестве пути к профилю пользователя \\имя_сервера\Profiles\имя_профиля .
• Зарегистрируйтесь на том же компьютере от имени одного из пользователей, для которых создается обязательный профиль. Убедитесь, что тип профиля пользователя изменился на «обязательный». Создайте какой-либо файл на рабочем столе пользователя. Завершите сеанс пользователя.
• Зарегистрируйтесь на том же компьютере от имени того же пользователя. Убедитесь, что на рабочем столе пользователя нет файла, созданного на предыдущем шаге. Завершите сеанс пользователя.

При использовании обязательного профиля вы не можете изменить его тип на перемещаемый или локальный. Для того, чтобы это можно было сделать, необходимо в свойствах учетной записи пользователя указать ссылку на перемещаемый профиль или вообще не указывать никакого профиля.

Posted:

Август 21, 2013 Среда at 11:01 пп

Известно, что Windows хранит настройки каждого пользователя в отдельном профиле. У каждого пользователя могут быть свои параметры рабочего стола, свои документы, своя папка Избранное. Windows - это, наверное, одна из самых дружелюбных операционных систем, поэтому комфорт пользователя для нее на первом месте. Но одним комфортом сыт не будешь. Профили пользователей содержат еще и настройки реестра, которые нужно отделить от общих настроек компьютера, поэтому второе назначение профилей пользователей - это обеспечение стабильности работы операционной системы. Принцип Разделяй и властвуй! в Windows, как и в любой другой современной операционной системе, используется почти в полном объеме (существуют операционные системы, которые защищены еще лучше, чем Windows, где управление профилями пользователей выполняется достаточно гибко).

Администраторам часто приходится сталкиваться с распространением профилей пользователей: это позволяет сэкономить огромное количество времени, а значит, и денег. Когда я работал администратором довольно большого предприятия, постоянно возникала проблема печати. Компьютеров в сети было не очень много - около 50, но за каждым из них в разное время могло работать 2-3 человека. Так вот, когда пользователь в первый раз заходил в сеть предприятия и пытался что-нибудь распечатать, ему приходилось настраивать принтер. А поскольку он не знал, как это сделать, он дергал администратора, то есть меня или моего коллегу. Спасло именно распространение профиля пользователя: в него по умолчанию были добавлены сведения о сетевых принтерах, и после этого администраторам уже не приходилось настраивать принтеры для каждого пользователя отдельно.
Управление профилям.и полезно не только для администраторов. Опытные пользователи могут переносить свои профили на другие компьютеры, чтобы всегда работать с привычными настройками.

Профиль пользователя загружается, когда пользователь входит в систему, и выгружается при выходе пользователя из нее. Профиль содержат настройки реестра (куст реестра), которые к нему добавляются при загрузке профиля. Но профиль пользователя - это не только куст реестра, но и совокупность различных папок, хранящих много различной информации - от служебных файлов системы до личных файлов пользователя. В этом разделе мы подробно рассмотрим профиль пользователя.

При обновлении ОС, например, с Windows NT 4.0 до Windows XP, профили пользователей будут находиться в каталоге $SYSTEMROOT%\Profiles.

Список профилей пользователей хранится в реестре в разделе HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows NT\CunentVersion\ProfileList. Каждый подраздел этого раздела описывает отдельный профиль пользователя. Имя раздела соответствует SID пользователя. В каждом разделе, описывающем профиль, находится параметр ProfilelmagePath типа REG_SZ, содержащий название домашнего каталога пользователя.

В каждом профиле есть файл Ntuser.dat. Этот файл, как мы уже знаем, является файлом куста профиля пользователя. При загрузке профиля Windows загружает данный файл в подключ HKUVcSIE», где SID - это идентификатор безопасности пользователя. После этого Windows связывает ключ HKCU cHKUXSID.

Профиль пользователя, кроме файла куста, включает в себя названия служебных папок и их содержимое:

Application Data - файлы приложений. Содержимое подкаталогов этого каталога зависит от установленных программ. Каждая программа сама решает, что хранить в этом каталоге;

Cookies - Cookies пользователя для Internet Explorer;

Desktop - ярлыки, файлы и папки рабочего стола. Практически все (кроме служебных пиктограмм, таких как Мой компьютер. Корзина), что находится на рабочем столе, хранится в этой папке;

Local Settings - файлы приложений, которые не перемещаются вместе с профилем пользователя по сети. Обычно здесь находятся или обще компьютерные файлы (одинаковые для всех пользователей), или файлы, которые слишком велики для копирования по сети. В данном каталоге есть четыре подкаталога:

Application Data - содержит данные приложений. Например, в Local Settings\Application Data\NFS Underground - содержатся пользовательские файлы и игры Need For Speed;

History - содержит историю адресов ТЕ;

Temp - содержит временные файлы пользователя;

Temporary Internet Files - включает в себя кэшированные файлы;

NetHood - содержит ярлыки объектов, расположенных в сети. Пользователи видят эти ярлыки в папке Сетевое окружение;

PrintHood - содержит ярлыки принтеров. Пользователи видят эти ярлыки в папке Принтеры;

Recent - в этом каталоге находятся ярлыки на недавние документы;

SendTo - содержит ярлыки дисков, папок и приложений, которые способны принять целевой файл. Эти ярлыки пользователь видит в контекстном меню;

Главное меню - содержит папки и ярлыки главного меню (меню Пуск) пользователя;

Избранное (Favorites) - каталог содержит избранные ссылки Internet Explorer. Содержимое этого каталога отображается в меню Избранное браузера;

Мои документы - используется для хранения документов пользователя. Содержит подкаталоги Мои рисунки, Моя музыка и некоторые другие для хранения, соответственно, графических и музыкальных файлов пользователя, а также файлов с другим содержанием. Кроме этого, неко­торые приложения сохраняют файлы, созданные пользователем, в подкаталогах этого каталога, например, ICQ Lite хранит историю переписки и другие параметры учетной записи пользователя в каталоге Мои документыМСО Lite;

Кроме упомянутых ранее, в реестре есть еще один очень интересный раздел HKCL - Software\Microsoft\Windows\CunentVersion\Explorer\Shell Folders. Если в него заглянуть, то вы найдете в нем размещение каждой из папок, которая является частью профиля пользователя.

Служебные профили

Давайте рассмотрим каталог C:\Documents and Settings. Кроме каталогов профилей пользователей, вы найдете в нем еще четыре каталога, соответствующие служебным профилям:

All users - здесь хранятся настройки, которые относятся ко всем пользователям компьютера. В этом каталоге вы найдете файл куста Ntuser.dat, который не загружается операционной системой. Также здесь есть общие каталоги документов, общие ярлыки для меню Пуск и т. д. Раздел HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersionNExplorer содержит ссылки на каталоги из этого профиля;

Default User - содержимое этого каталога копируется в профиль пользователя при создании нового пользователя;

LocalService - каталог хранит профиль встроенной учетной записи LocalService, которую использует менеджер управления службами. Сам каталог LocalService обычно является скрытым, а учетную запись LocalService вы не увидите в списке пользователей;

NetworkService - необходима для учетной записи NetworkService, которая используется менеджером управления службами.

Наибольший интерес представляет каталог Default User. Все, что вы поместите в этот каталог, будет скопировано в настройки для нового пользователя при создании его учетной записи. Например, вы можете изменить каталог Default добавив в него новые ярлыки. Тем самым вы измените меню Пуск нового пользователя.

Типы профилей

В Windows существует три типа профилей:

Локальный - создается при создании новой учетной записи, точнее, когда пользователь в первый раз входит в систему. Локальные профили хранят­ся на жестком диске локального компьютера и не следуют за пользовате­лем от одного компьютера к компьютеру, если пользователь перемещает­ся в пределах сети;

Блуждающий - такой профиль следует за пользователем при его перемещении по сети. С какого бы компьютера сети пользователь бы ни зашел, его настройки всегда будут загружены. Такой профиль обычно хранится на контроллере домена. Изменения в профиле сохраняются при выходе пользователя из сети;

Неизменяемый - похож на блуждающий профиль, он загружается с контроллера домена, когда пользователь входит в сеть с любого компьютера, даже не входящего в сеть; однако изменения, произведенные в профиле, сбрасываются при выходе из сети.

Локальные профили

Рассмотрим, как Windows работает с локальными профилями. При входе пользователя в систему Windows первым делом проверяет, есть ли в разделе реестра ProfileList локальный профиль пользователя. Если профиль уже создан, Windows использует его. Если же профиль не существует, действия компьютера зависят от того, является ли он членом домена или нет. В первом случае (компьютер - член домена) операционная система выполняет поиск профиля по умолчанию в сетевом ресурсе netlogon контроллера домена. Если профиль найден, то операционная система использует его, выполняя копирование NETLOGON\Default User в %SYSTEMDRIVE%\Documents and Settings\имя пользователя.

В противном случае, если компьютер не является членом домена или если профиль по умолчанию в NETLOGON не найден, Windows использует локальный профиль по умолчанию. При этом содержимое каталога %SYSTEMDRIVE%\Default User копируется в %SYSTEMDRIVE%\Documents and Settings\HMfl пользователя. После этого производится загрузка куста профиля Ntuser.dat в HKU\SID и связывание HKU\SID с ключом HKCU.

При выходе пользователя из системы все изменения, выполненные в локальном профиле, сохраняются на жестком диске локального компьютера и не копируются в сеть. Таким же образом производится выгрузка куста реестра.

Блуждающие профили

С блуждающими профилями Windows работает немного иначе. При входе пользователя в систему обычно проверяется существование его локального профиля в разделе ProfileList. Если локальный профиль существует, то он объединяется со своей сетевой версией (которая хранится на контроллере домена).

Если же локальная версия профиля не существует, Windows производит поиск на ресурсе NETLOGON, расположенном на контроллере домена, в папке Default User. Если она существует, то операционная система копирует ее в каталог %SYSTEMDRIVE%\Documents and Settings\имя пользователя. Если профиль по умолчанию не найден, содержимое каталога %SYSTEMDRIVE%\Default User копируется в %SYSTEMDRIVE%\Documents and Settings\HM пользователя.

В обоих случаях Windows загружает файл куста в HKU\SE, а затем связывает HKU\SID с ключом HKCU.

При выходе пользователя из системы производится сохранение профиля пользователя с последующим копированием его в сеть (в то место, которое указано администратором при конфигурировании контроллера домена).

Создание блуждающих профилей выполняется на контроллере домена, который обычно работает под управлением Microsoft Windows 2003 (или 2000) Server. Настройку таких профилей мы рассматривать не будем, поскольку это выходит за рамки данной книги. Если вам это интересно, следует прочитать одну из книг, посвященную Active Directory или Windows 2003 Server - в ней вы найдете всю интересующую информацию по данной теме.

И нформация взята из девятой главы книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek).

В профилях пользователей содержатся параметры рабочего стола, настройки меню и другие элементы пользовательской среды. Иногда проблемы с профилем могут воспрепятствовать входу пользователя в систему. Например, у пользователя могут возникнуть проблемы со входом в систему, для которой не поддерживаются параметры разрешения экрана, сохраненные в профиле. Фактически, пользователь не увидит ничего, кроме пустого экрана. Можно перезагрузить машину и войти в режиме VGA, чтобы установить необходимые параметры вручную. Однако,проблемы, связанные с профилями, не всегда просты и могут потребовать обновления данных профиля. (Примечание переводчика. Автор приводит неудачный пример. На самом деле, параметры разрешения экрана в профиле не хранятся, а являются настройками локального компьютера. Подтверждение можно найти в KB281565 .)

Управление профилями пользователей в Windows 2000 можно осуществлять различными способами:

Локальные, перемещаемые и обязательные профили

В операционной системе Windows 2000 у каждого пользователя есть свой профиль. В профиле содержатся параметры загрузки пользовательской среды, доступные программы и приложения, настройки рабочего стола и т.д. Профиль есть на каждом компьютере, на котором работает пользователь. Поскольку профиль хранится на локальном жестком диске, у пользователей, работающих на нескольких компьютерах, будут профили нак каждом из них. С другого компьютера сети локально сохраненный профиль недоступен (он так и называется: локальный профиль ). Как Вы понимаете, в этом есть свои недостатки. Например, у пользователя, входящего на различные компьютеры сети, профили могут отличаться друг от друга. В результате, пользователь может запутаться в доступных ему сетевых ресурсах. Чтобы решить проблему многочисленных профилей и упростить ситуацию, можно создать особый профиль, который будет доступен различным компьютерам сети. Такой профиль называется перемещаемым . Перемещаемый профиль доступен пользователю на любом компьютере, входящем в домен. Такой профиль может храниться только на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. При входе пользователя в систему происходит загрузка профиля с сервера, что в свою очередь создает локальную копию на компьютере пользователя. При выходе пользователя из системы, произведенные в течение сеанса изменения сохраняются как в локальной, так и серверной копии профиля.

Как администратор, Вы можете контролировать профили пользователей или позволить им это делать самостоятельно. К примеру, можно контролировать профили, чтобы обеспечить единую конфигурацию сети для всех пользователей. Это снизит количество проблем, связанных с пользовательской средой.

Профили, контролируемые администраторами, называются обязательными профилями . Пользователи, имеющие обязательный профиль, могут вносить лишь временные изменения в свою среду. Иными словами, все модификации пользовательской среды сохраняются лишь на протяжении сеанса, а при следующем входе в систему вновь загружается обязательный профиль. Смысл использования обязательных профилей заключается в том, что если пользователям не позволено модифицировать среду, они не сумеют внести изменения, которые могут привести к проблемам в работе. Основным недостатком такого подхода является то, что пользователи могут войти в систему только в случае, когда им доступен обязательный профиль. Если по какой-либо причине нет доступа к серверу, хранящему обязательные профили, а кэшированный профиль тоже недоступен, пользователь не сможет войти в систему. Если сервер недоступен, но есть возможность загрузить локальный кэшированный профиль, пользователь сможет войти в Windows 2000 с кэшированным профилем после соответствующего предупреждения операционной системы.

Создание локальных профилей

В Windows 2000 профили пользователей располагаются в каталоге по умолчанию, либо в расположении, указанном в поле диалогового окнаСвойства (Properties) пользователя.Расположение каталога по умолчанию зависит от конфигурации локального компьютера следующим образом:

Если расположение по умолчанию не менять, у пользователя будет локальный профиль.

Создание перемещаемых профилей
Перемещаемые профили хранятся на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. Если Вы хотите назначить пользователю перемещаемый профиль, нужно сконфигурировать серверное расположение каталога профиля. Этого можно достичь следующими действиями:

1.	Создайте общий каталог на сервере и убедитесь, что у группы Все (Everyone) есть доступ к нему.
2.	Откройте оснастку групповой политики и в Свойствах (Properties) пользователя перейдите на вкладку Профиль (Profile) . В поле Путь к профилю (Profile Path) введите путь к общему каталогу. Путь должен иметь вид \\server name\profile folder name\user name. Например, \\ZETA\USER_ PROFILES\GEORGEJ, где ZETA - имя сервера, USER_PROFILES – название общего каталога, а GEORGEJ является именем учетной записи.
3.	Впоследствии профиль будет храниться в файле NTUSER.DAT в указанном каталоге (например, \\ZETA\USER_PROFILES\GEORGEJ\NTUSER.DAT) Примечание . Как правило, нет необходимости в создании папки для пользователя. Она будет создана автоматически при входе пользователя в систему.
4.	Можно создать профиль для пользователя или скопировать существующий профиль в указанный каталог, однако этот шаг не является обязательным. Если Вы не создадите профиль для пользователя заранее, при следующем входе в систему он получит локальный профиль по умолчанию. Все изменения, произведенные пользователем в профиле, сохранятся по завершении сеанса. Таким образом, при следующем входе в систему у пользователя будет уже персональный профиль.

Создание обязательных профилей
Обязательные профили хранятся на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. Если вы хотите назначить пользователю обязательный профиль, выполните следующие действия:

Использование компонента панели управления Система (System) для управления локальными профилями

Для управления локальными профилями Вам нужно войти в систему на компьютере пользователя. Затем запустите компонент Система (System) панели управления и перейдите на вкладку . Как показано на Рисунке 9-9 ниже, вкладка Профили пользователей отображает в виде таблицы различную информацию о профилях локальной системы. Эта информация поможет Вам в управлении профилями. Значения полей таблицы раскрываются ниже:

	Имя. Имя локального профиля, которое обычно включает в себя имя домена или компьютера. Например, имя WEBATWORK\WRSTANEK означает, что этот профиль из домена WEBATWORK, а имя учетной записи - WRSTANEK. Рисунок 9-9. Вкладка Профили пользователей в диалоговом окне Свойства системы позволяет Вам управлять локальными профилями. Если Вы удалите учетную запись, но сохраните связанный с ней профиль, на вкладке Профили пользователей в поле Имя может отображаться Учетная запись удалена (Account Deleted) или Неизвестная учетная запись (Account Unknown) . Не обращайте внимание, профиль все равно можно скопировать при необходимости.
	Размер. Размер профиля. Обычно, чем больше размер профиля, тем больше личных изменений пользователь внес в свою среду.
	Тип. Тип профиля: локальный или перемещаемый.
	Изменен. Дата последнего изменения профиля.

Создание профиля вручную
В некоторых случаях Вам может понадобиться создать профиль вручную. Для этого нужно войти в систему с учетными данными пользователя, настроить среду, и выйти из системы. Несложно догадаться, что создание профилей таким способом отнимает немало времени. Лучше задействовать базовый профиль для создания новых пользовательских профилей. Иными словами, Вы создаете базовую учетную запись, настраиваете пользовательскую среду, а затем используете полученный профиль, как основу для создания других учетных записей.

Копирование существующего профиля в новую учетную запись
Если у Вас есть базовый профиль или иная учетная запись, которую Вы хотите взять за основу, можно скопировать существующий профиль в новую учетную запись. Для этого можно задействовать компонент панели управления Система (System) , проделав следующие операции:

1.		Запустите компонент Система и перейдите на вкладку Профили пользователей (User Profiles).
2.		Из списка выберите существующий профиль, который Вы желаете скопировать.
3.		Копировать (Copy To) , как показано на Рисунке 9-10. Например, создавая профиль для нашего пользователя GEORGEJ, Вы бы ввели такой путь: \\ZETA \USER_PROFILES\GEORGEJ .\\ZETA Рисунок 9-10. Используйте диалоговое окно Копировать (Copy To), чтобы указать расположение каталога профиля и выдать пользователю разрешения на доступ.
4.		Изменить (Change) в области , а затем используйте диалоговое окно Выбор: Пользователь или Группа (Select User Or Object)
5.		Нажмите кнопку OK Копировать и тем самым дать операционной системе команду на копирование профиля в указанное расположение.

Совет. Если Вы хотите использовать определенное имя пользователя или группы, введите его непосредственно в поле Имя. Это сэкономит Вам время.

Копирование или восстановление профиля
При обслуживании рабочих групп, где каждый компьютер управляется отдельно, Вам часто придется копировать локальный профиль пользователя с одного компьютера на другой. Копирование профиля позволяет пользователям работать с привычными настройками на различных компьютерах. Безусловно, в домене Windows 2000 Вы можете использовать перемещаемый профиль в виде единого профиля, который доступен в пределах всего домена. Впрочем, иногда Вам может понадобиться скопировать существующий локальный профиль поверх перемещаемого профиля пользователя (в случаях, когда последний поврежден) или может возникнуть необходимость в копировании существующего локального профиля в перемещаемый профиль другого домена.

Вы можете скопировать существующий профиль в новое расположение следующим образом:

1.	Войдите в систему на компьютере пользователя, из панели управления запустите компонент Система (System) и перейдите на вкладку Профили пользователей (User Profiles) .
2.	Из списка Профили, хранящиеся на этом компьютере (Profiles Stored On This Computer) выберите существующий профиль, который вы желаете скопировать.
3.	Скопируйте профиль в новую учетную запись, нажав кнопку Копировать (Copy To) . Затем введите путь к папке профиля нового пользователя в поле Копировать профиль на (Copy Profile To) . Например, создавая профиль для пользователя JANEW, Вы бы ввели такой путь: \\GAMMA\USERPROFILES\JANEW .
4.	Теперь нужно выдать пользователю разрешения на доступ к профилю. Нажмите кнопку Изменить (Change) в области Разрешить использование (Permitted To Use) , а затем используйте диалоговое окно Выбор: Пользователь или Группа (Select User Or Object) , чтобы выдать новой учетной записи необходимые разрешения.
5.	Нажмите кнопку OK , чтобы закрыть диалоговое окно Копировать и дать Windows 2000 команду на копирование профиля в указанное расположение.

Удаление локального профиля и назначение нового

Профили задействуются при входе пользователя в систему. Windows 2000 использует локальные профили для всех пользователей, не имеющих перемещаемых профилей. Вообще, локальный профиль также используется еще и в случае, когда дата его последнего изменения новее, чем у перемещаемого профиля. Поэтому в некоторых случаях может возникнуть необходимость в удалении локального профиля пользователя. Например, если локальный профиль поврежден, Вы можете удалить его и назначить новый. Учтите, что персональные настройки пользователя будут утеряны при удалении локального профиля, который более нигде в домене не сохранен.

Выполните следующие шаги для удаления профиля пользователя:

Примечание . Если в настоящий момент профиль используется, его нельзя удалить. Если пользователь вошел в систему локального компьютера, то для того, чтобы Вы могли удалить его профиль, он должен завершить сеанс. Иногда Windows 2000 определяет, что профиль используется в настоящий момент, даже если это не так. Обычно это является результатом некорректно применившихся настроек пользовательской среды. Для исправления такой проблемы может потребоваться перезагрузка компьютера.

Теперь при следующем входе пользователя в систему произойдет следующее. Операционная система предоставит пользователю либо локальный профиль по умолчанию, либо перемещаемый профиль, хранящийся на сервере. Чтобы избежать использования любого из этих профилей, Вам нужно назначить пользователю новый профиль.
Это можно осуществить:

Изменение типа профиля
Тип перемещаемого профиля можно изменить из панели управления локального компьютера при помощи компонента Система (System) . Для этого выберите профиль и нажмите кнопку Сменить тип (Change Type) . Диалоговое окно предоставляет Вам следующие возможности:

Перейти от использования перемещаемого профиля к использованию локального. Если Вы хотите, чтобы пользователь всегда входил в систему данного компьютера с локальным профилем, используйте параметр Локальный профиль (Local Profile) . Все изменения в пользовательских настройках затронут лишь локальный профиль и не коснутся перемещаемого.

Перейти от использования локального профиля (который ранее был перемещаемым) к использованию перемещаемого . Если выбрать параметр Перемещаемый профиль (Roaming Profile) , при следующем входе в систему пользователю будет предоставлен перемещаемый профиль. Впоследствии Windows 2000 будет рассматривать такой профиль, как любой другой перемещаемый профиль. Это означает, что все изменения, произведенные в локальном профиле, будут скопированы в перемещаемый профиль.

Примечание . Если профиль пользователя изначально был определен как локальный, эти настройки будут недоступны.

Изменение учетных записей пользователей и групп

При помощи оснастки Active Directory - пользователи и компьютеры (Active Directory Users And Computers) можно обновлять и изменять данные доменных учетных записей пользователей и групп. Если Вам нужно внести изменения в учетные записи на локальном компьютере, задействуйте оснастку .

Переименование учетных записей пользователей и групп

Выполните следующие действия, чтобы переименовать учетную запись:

Идентификаторы безопасности (SIDs)
Переименовывая учетную запись, Вы всего лишь даете ей новое имя. Как рассказывалось в Главе 7, имена пользователей облегчают Вам управление учетными записями и работу с ними. Операционная система Windows 2000 использует в своей работе идентификаторы безопасности (SIDs) для распознавания, отслеживания и обработки учетных записей вне зависимости от их имен. Идентификаторы безопасности являются уникальными и генерируются одновременно с созданием учетной записи.
Поскольку существует внутренняя связь между именем учетной записи пользователя и ее идентификатором безопасности, Вам не нужно изменять привилегии и разрешения переименованной учетной записи. Windows 2000 просто сопоставляет идентификатор безопасности новому имени учетной записи, когда в этом возникает необходимость.
Распространенной причиной переименования учетных записей служит смена фамилии работника после свадьбы. Например, если Jane Williams (JANEW) вышла замуж и взяла фамилию супруга, она может захотеть сменить имя своей учетной записи соответственно новой фамилии - Jane Marshall (JANEM).Когда вы переименовываете учетную запись с JANEW на JANEM, смена имени отразится на всех связанных с ней привилегиях и разрешениях.Например, у JANEM будут все разрешения для файлов, которые ранее имелись у JANEW (причем JANEW уже не будет присутствовать в списках).

Изменение прочей информации
Когда Вы изменяете имя учетной записи с JANEW на JANEM, свойства пользователя и имена файлов, связанных с этой учетной записью, остаются прежними. Это означает, что Вам следует обновить данные учетной записи. Возможно, Вам понадобится обновить следующую информацию:

	Выводимое имя . Измените Выводимое имя (Display Name) учетной записи в оснастке .
	Путь к профилю пользователя . Поменяйте Путь к профилю (Profile Path) в оснастке Active Directory - пользователи и компьютеры , а затем переименуйте соответствующую папку на диске.
	Сценарий входа в систему. Если Вы применяете индивидуальные сценарии входа в систему для каждого пользователя, измените Сценарий входа (Logon Script Name) в оснастке Active Directory - пользователи и компьютеры, и затем переименуйте файл сценария.
	Домашняя папка. Измените путь к домашней папке в оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers) , и затем переименуйте соответствующую папку на диске.

Примечание. Если пользователь находится в системе, изменение информации о файлах и папках может привести к накладкам. Следовательно, лучше производить обновление информации в нерабочие часы или попросить пользователя выйти из системы на несколько минут.
Копирование доменных учетных записей

Создание доменных учетных записей «с нуля» может быть весьма утомительным процессом. Вместо того, чтобы каждый раз создавать новую учетную запись, Вы можете использовать существующую учетную запись в виде отправной точки. Это можно проделать следующим образом:

Как можно ожидать, при создании копии существующей учетной записи в оснастке Active Directory - пользователи и компьютеры не происходит полного переноса информации в новую учетную запись. Сохраняются лишь данные, которые Вам могут понадобиться, а подлежащая обновлению персональная информация пользователя не копируется. В число сохраняемых настроек входят:

Примечание. Если Вы использовали переменные среды в настройках профиля базовой учетной записи, эти же переменные будут задействованы в созданной копии учетной записи. Например, если в исходной учетной записи использовалась переменная %UserName%, она будет присутствовать и в настройках новой учетной записи.

Удаление учетных записей пользователей и групп

Удаление учетной записи ведет к ее полному уничтожению. Если вы удалите учетную запись, а затем создадите новую с точно таким же именем, у последней уже не будет разрешений удаленной учетной записи. Это происходит потому, что идентификаторы безопасности новой и старой учетных записей не совпадают друг с другом.
Операционная система Windows 2000 не позволяет производить удаление встроенных учетных записей, поскольку это может привести к негативным последствиям в домене. Удаление прочих учетных записей можно осуществить, выделив учетную запись и нажав клавишу Delete на клавиатуре или выбрав команду Удалить (Delete) из контекстного меню. Затем останется лишь последовательно нажать кнопки OK и Да (Yes) в диалоговом окне подтверждения удаления учетной записи.
В оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers) можно выбрать сразу несколько учетных записей следующим образом:

Примечание. Когда Вы удаляете учетную запись, Windows 2000 не удаляет пользовательский профиль, личные файлы и домашнюю папку. Если Вам нужно их удалить, это придется сделать вручную.

Задание и смена паролей

Как администратору, Вам часто приходится задавать или менять пароли пользователей. Как правило, это приходится делать в случаях, когда пользователь не может вспомнить пароль или срок действия пароля истек. Выполните следующие действия, чтобы задать или сменить пароль:

1.	Откройте оснастку Active Directory - пользователи и компьютеры (Active Directory Users And Computers) или Локальные пользователи и группы (Local Users And Groups) , в зависимости от типа учетной записи для которой Вы меняете или задаете пароль.
2.	Правым щелчком мыши на имени учетной записи вызовите контекстное меню и выберите команду Смена пароля (Reset Password) или Задать пароль (Set Password) , в зависимости от поставленной задачи.
3.	Введите новый пароль и подтвердите его. Пароль должен соответствовать требованиям сложности, определяемых политикой домена или локального компьютера.
4.	Двойным щелчком на имени учетной записи откройте ее свойства и снимите флажок Отключить учетную запись (Account Is Disabled) или Заблокировать учетную запись (Account Is Locked Out) , если это применимо к Вашей ситуации или необходимо для выполнения поставленной задачи.В оснастке Active Directory - пользователи и компьютеры эти флажки находятся на вкладке Учетная запись (Account) .

Включение учетных записей

Учетные записи могут оказаться отключенными по ряду причин:

• Если пользователь забыл пароль и пытается его угадать, он может превысить допустимое число неудачных входов в систему, установленное политикой блокировки учетных записей.
• Другой администратор мог отключить учетную запись, пока пользователь находился в отпуске.
• Истек срок действия учетной записи.

Ниже описывается порядок действий в ситуациях, когда учетная запись отключена, заблокирована или истек срок ее действия.

Учетная запись отключена
Если учетная запись отключена, выполните следующие действия для ее включения:

Учетная запись заблокирована
Если учетная запись заблокирована, выполните следующие действия для ее разблокирования:

Примечание. Если учетные записи пользователей часто оказываются заблокированными, возможно, стоит задуматься об изменении доменной политики учетных записей. Вы можете увеличить пороговое значение неудачных попыток входа в систему и уменьшить время, требуемое для сброса значения соответствующего счетчика на ноль.
Более подробно аспекты настройки политик учетных записей рассматриваются в разделе Настройка политик учетных записей Главы 8.

Истечение срока действия учетной записи
Срок действия есть только у доменных учетных записей. Локальные учетные записи срока действия не имеют.
Если срок действия доменной учетной записи истек, выполните следующие шаги:

Устранение неполадок, связанных со входом в систему

В предыдущем разделе описывались ситуации, которые могли привести к отключению учетных записей. Помимо рассмотренных выше распространенных причин отключения учетных записей, к проблемам со входом в систему может привести неверная конфигурация некоторых системных параметров. В частности, могут возникнуть следующие проблемы в работе:

	Пользователю выдается сообщение о невозможности интерактивного входа в систему. У пользователя нет прав для локального входа в систему и он также не входит в группу, которая обладает данными правами. Возможно, пользователь пытается войти в системусервера или контроллера домена. Если это действительно так, учтите, что право на локальный вход распространяется сразу на все контроллеры домена. В противном случае, право распространяется лишь на вход на определенную рабочую станцию. Если пользователь должен иметь доступ в локальную систему, сконфигурируйте ему право на Локальный вход в систему (Local logon) , как описано в Главе 8 Конфигурация политик прав пользователей .
	Пользователю выдается сообщение о невозможности входа в систему. Если вы уже убедились в правильности пароля и имени учетной записи, проверьте ее тип. Пользователь может пытаться выполнить вход в домен с локальной учетной записью. Если дело не в этом, проблема может заключаться в недоступности сервера глобального каталога. В таком случае, только пользователи с привилегиями администратора могут выполнить вход в домен.
	У пользователя обязательный профиль, хранящийся на недоступном в данный момент компьютере. Если пользователю назначен обязательный профиль, то компьютер, на котором он хранится, должен быть доступен во время входа в систему. Если компьютер выключен или недоступен по иной причине, пользователи с обязательными профилями не смогут выполнить вход в систему.
	Пользователю выдается сообщение об отсутствии правa на вход в систему на этой рабочей станции. Пользователь пытался выполнить вход на компьютер, который отсутствует в перечне разрешенных рабочих станций. Если пользователь должен иметь доступ к этому компьютеру, внесите его в список как описано в разделе Настройка разрешенных для входа рабочих станций этой главы.

Материал взят из книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek). © Корпорация Microsoft, 1999. Все права защищены.